2. Korzenie regulacji
Dla rozumienia rozporządzenia, zwłaszcza w kontekście sporów o materialny zakres jego stosowania, nieodzowne jest
pamiętanie o jego prehistorii, w tym o ćwierćwieczu konstruowania prototypów systemu ochrony danych.
Myślenie o prawnej reglamentacji obiegu wiadomości o ludziach wyrosło
z upowszechnienia się poczucia obywatelskiej podmiotowości, a także indywidualizmu jako społecznej postawy, z przekonania
o jedyności i odrębności
człowieka względem wszystkich ludzi. Oczekiwania w pewnym momencie wyszły poza odwieczne dążenie, by zaradzić
mocy złych języków. Nie tylko negatywne pogłoski i nieżyczliwe komunikaty,
ale już wszelkie informacje o ludzkiej jednostce, zawłaszczane przez innych,
mogły naruszać jej nowo odkrytą autonomię. Ich spontaniczny, niekontrolowany
obieg zderzał się z pragnieniem samodzielnego kształtowania bycia postrzeganym przez innych, a także trzymania
w skrytości pewnej głębokiej, osobistej wiedzy, udzielanej
powściągliwie lub wcale, na mocy względnie suwerennych decyzji. Niemal nigdy
postronnym, a rządzącym na miarę środków przymusu,
jakimi gotowi byli się posłużyć. Pierwsze manifestacje tej potrzeby wystąpiły
u schyłku XIX w.[1] To sędzia Thomas M. Cooley z Michigan sformułował w 1879 r. „prawo
do bycia pozostawionym samemu sobie”, przedefiniowując
miejsce jednostki w społecznościach[2].
Nowe przesłanki
ochrony pojawiły się po kolejnych dziesięcioleciach, za sprawą automatyzacji przetwarzania i transferu
danych[3]. Nie
stało się to od razu, ale przełom był nagły,
a wywołało go pojawienie się w życiu społeczeństw – choć długo jeszcze nie
w użytku osobistym – seryjnie produkowanych
komputerów. Postęp był koniecznością zrodzoną
przez technologię, nadzieją i źródłem obaw. Już względnie wczesne informatyczne
wdrożenia wywołały regulacyjną reakcję. W obliczu technicznych środków zdolnych
posłużyć do inwigilacji ludzi, rejestracji i analizy ich zachowań, a także
do kompilowania informacji na ich temat, niewystarczające okazywało się
przyjmowane dotychczas rozumienie prywatności. Nie obejmowało bowiem typów
ingerencji, które stały się możliwe w środowisku cyfrowym, a wobec tego
brakowało też odpowiednich zabezpieczeń.
Obok przemian technologicznych
odnotowano inne zjawiska: mnożenie się współzależnych ról, które przypadają
każdemu w społecznym otoczeniu, a z drugiej strony – rozrost inwigilacyjnego aparatu państw oraz rynkowych narzędzi
obserwowania konsumentów i kształtowania ich postaw[4]. Ponadto,
ludzie nie tylko byli podpatrywani, ale sami pozostawiali po sobie coraz
więcej tropów, np. komunikując się przy pomocy
środków niedyskretnych, a często wręcz ulegając pragnieniu, by postronni
widzieli ich w osobistym życiu[5]. W
następstwie tych przemian określona informacja o konkretnej osobie nabyła
– co właściwie było nieuniknione – podatność na przejmowanie przez innych i znajdowanie zastosowań, z których zainteresowany nie był już
w stanie zdawać sobie sprawy. Stać się więc mógł bezwolnym obiektem
skrytych informacyjnych operacji.
Cele przetwarzania
danych, w porównaniu z metodami tradycyjnymi, zmieniały się
powoli. Od razu widoczna była natomiast odmienność sposobu zarządzania danymi
w systemach elektronicznych, wynikła ze specyfiki przechowywania i wyszukiwania informacji, masowej skali zasobów,
zdolności do transmisji na wielką odległość oraz szybkości operacji.
Pojawił się też jeszcze jeden problem: poprawnej interpretacji danych zgromadzonych w nowych systemach i przetwarzanych
maszynowo – aż poza tę granicę, gdy
urządzenie nie poprzestaje na dostarczeniu informacji do podjęcia
decyzji, ale samo rozstrzyga o sprawach ludzi. Nie był to jeszcze dylemat autonomicznej sztucznej inteligencji – chociaż lęk
przed nią od dawna towarzyszy ludziom
– lecz całkiem realna obawa przed maszynową procedurą selekcyjną, wykonywaną
według anonimowo zadanej instrukcji.
Z perspektywy późniejszego rozwoju
informacyjnych technologii te zmiany, szerzej
dostrzeżone pod koniec lat sześćdziesiątych XX w., mogły wydawać się co najwyżej
zapowiedzią dylematów cywilizacji cyfrowej.
Z drugiej strony, już wtedy, ludzie, za punkt odniesienia mający niecyfrową przeszłość,
realnie odczuwali oszałamiające zwielokrotnienie informacyjnego potencjału. Z powodu
nagle objawionej technologicznej sprawności
swe osobiste sekrety ujrzeli wystawione na widok publiczny, a
najwrażliwsze dane – znacznie bardziej narażone na nadużycia. Sama
zresztą ekspansywność elektronicznego przetwarzania informacji budziła
społeczną trwogę. Podnoszono więc, że różne publiczne agendy będą zdolne
wymieniać między sobą i zestawiać dane
dotyczące określonej osoby, tworząc szczegółowe profile obywateli. Ewentualności profilowania nie uważano z
początku za bezpośrednio prawdopodobną, ale nie zapobiegło to upowszechnionemu
przeżywaniu zagrożenia[6].
Nie
ma zgody, gdzie tkwią kamienie milowe tej drogi, i w różnych punktach wyznaczać
można jej początek. Jeden z nich bywa umieszczany
aż w 1964 r., gdy Vance Packard opublikował „The Naked Society” –
studium technologicznej inwazji na prywatność jednostek, jeszcze skądinąd
nieprzewidujące nadchodzącej cyfrowej opresji[7].
Informatyczna infrastruktura na przełomie
lat sześćdziesiątych i siedemdziesiątych XX
w., gdy rozpaliły się debaty nad ochroną informacji, usprawniała operowanie
danymi, ale nie była jeszcze w stanie spowodować, by świat funkcjonował
zasadniczo inaczej. Miała walor ulepszeń w zarządzaniu informacją – od
dawna przecież i na wielką skalę praktykowanym w życiu społeczeństw i
państw. Przez dziesięciolecia doskonalone
były w tej dziedzinie procesy zautomatyzowane, wspierane przez mechaniczne technologie. Choć ludzie uważali, że
pionierska faza elektronicznej informatyzacji jest za nimi, to w istocie
urządzenia komputerowe – znane, ale wciąż nieliczne
i umiarkowanie wydajne – tkwiły u początków kolonizacji rozwiniętych krajów.
Niemniej jednak, już wtedy wywołały alert.
Kiedy pojawiły się pierwsze pomysły
chronienia danych osobowych na skalę Wspólnot europejskich, od kilkudziesięciu
już lat w biegu były dzieje komputeryzacji, ograniczanej
przez stopień integracji układów scalonych, lecz mimo to w niesłychanym
tempie pomnażającej moce obliczeniowe. Potencjał nowych technologii był
publicznie unaoczniany, nawet jeśli pewne postępy, obejmujące m.in.
zastosowania militarne lub wywiadowcze, pozostawały w cieniu.
Koncepcje ochrony danych osobowych z
początku ignorowały dotychczasowe zasoby informacyjne – nacechowane powolnością
operacji, trudno przeszukiwalne, mozolnie
wiążące różne wiadomości ze sobą, praktycznie niepoddające się masowemu i szybkiemu przesyłowi, na każdym kroku uzależnione
od ludzkich czynności. Na pozór zbyt niefunkcjonalne, by ich się bać.
Groźne wydało się natomiast to, co nowe.
Odnotowano wprawdzie zapewnienia wytwórców
komputerów oraz pierwszych zarządców danych, jakoby nowe urządzenia pod
względem bezpieczeństwa górowały nad
tradycyjnymi rejestrami – ale przyjęto je bez wiary[8].
Pierwsze projekty ochronnych unormowań
skupiały się więc całkowicie na technologiach informatycznych[9]. Nie
obyło się jednak w tej mierze bez sporów ani wątpliwości.
Jeżeli za kryterium przyjąć sprawność przetwarzania, a w konsekwencji – łatwość identyfikacji jednostek, to zaawansowane rozwiązania niecyfrowe nie były
przecież pozbawione ryzyka. Zaabsorbowani
nagle objawioną efektywnością komputerów,
która wydała się nadludzka, a pod pewnymi względami taką rzeczywiście
była, pionierzy regulowania informacyjnych operacji na ogół tracili z oczu wcześniejsze, potencjalnie groźne postępy
w zarządzaniu informacją.
Funkcjonowały tymczasem zmechanizowane
kartoteki, będące wielkimi zbiorami danych, i używano wyrafinowanych środków
kancelaryjnych, które spełniały kryteria krytycznie łatwego dostępu i operacyjnej
skuteczności.
Wdrożenie narzędzi informatycznych
stanowiło wyrazistą zmianę jakościową i wywołało zrozumiałą, na nich
skoncentrowaną reakcję. Pole widzenia dość szybko uległo jednak retrospektywnemu poszerzeniu. Gdy podważeniu uległo
inicjalne ujęcie technologiczne, na jego miejsce pojawił się pogląd,
jakoby środki ochrony powinny być
stosowane nie tylko ze względu na sposób przetwarzania danych osobowych, ale
także wtedy, gdy ich charakter, albo okoliczności ich używania spowodowałyby
zagrożenie „dla prywatności i swobód jednostki”[10]. Było
to podejście funkcjonalne, któremu trudno
odmówić racjonalności. Charakterystyczne, że po wstępnym epizodzie wyłączności „elektronicznych banków
danych” w kolejnych regulacjach posługiwano
się uogólnionym pojęciem zautomatyzowanego przetwarzania, na nim zresztą nie poprzestając[11].
W praktyce automatyczne operacje dokonywały się niemal wyłącznie w świecie cyfrowym, lecz dla ich
opisania konsekwentnie używano określenia znaczeniowo pojemniejszego. Mechaniczna
infrastruktura automatyzacji należała już do
historii (nawet jeśli np. służby kryptograficzne państw trzymałyby w pogotowiu
niecyfrową rezerwę) – niemniej jednak konsekwentnie podtrzymywano terminologię, która znajduje odniesienia do
rzeczywistości wirtualnej, ale może przywodzić też na myśl wyrafinowane
konstrukcje industrialnego zmierzchu.
Wszelkie dane
osobowe mogły być niebezpieczne dla jednostek, ale nie one same stanowiły
źródło ryzyka, a sposoby ich przetwarzania, zestawione z etycznym deficytem.
W skupieniu uwagi na fenomenie automatyzacji
przejawiało się dojrzewanie rozumienia sprawności
i rosnącej dostępności maszynowego przetwarzania danych jako czynników
zagrożenia wolności i praw jednostek. Tych jednostek, których cechy były
odwzorowywane i zestawiane już we wczesnych
prototypach cyfrowej rzeczywistości. Banalizacja nadefektywnych narzędzi gromadzenia i korzystania
z danych, imiennie identyfikujących ludzi, coraz wyraźniej sprowadzała
grozę anonimowego i niejawnego zarządzania jednostkami,
manipulowania, wręcz posługiwania się nimi, kontrolowania ich zachowań, zwłaszcza dla administracyjnej wygody lub dla
politycznego wpływu, lub z motywów marketingowych.
Świat, nadal
wypełniany przez papierowe kartoteki i książkowe rejestry, sposobił się do cywilizacji
cyfrowej, nie wyłączając pesymistycznych wizji jej dehumanizacji. Od dawna
ją sobie wyobrażał. Choć wiele futurystycznych wizji było literackiego
pochodzenia, technologiczne utopie epoki industrialnej nie bez słusznej przyczyny aspirowały do racjonalistycznej prognozy. Z dużą trafnością
antycypowały potęgę przyszłych systemów teleinformatycznych oraz globalną skalę ich oddziaływań. Postawy ludzi
wobec komputerów bazowały tak na
wiedzy, jak i na przekonaniach, a w tym – uprzedzeniach. Cyfrowa
przyszłość, szeroko komentowana, pozostawała
nieznana i groźna, sięgając aż po apokaliptyczne wyobrażenia poczłowieczej
cywilizacji. Lęk wyprzedził realia epoki i żywił się kulturowymi stereotypami, które
skądinąd – w odróżnieniu od wielu innych
– miały z czasem stawać się rzeczywistością. Społeczne niepokoje nie
brały się z wielości realnych nadużyć związanych z elektronicznym przetwarzaniem danych, ale z tego, że w powszechnym odczuciu
prawdopodobne było ich zwielokrotnienie[12]. Także
z poczucia niepewności – nierozwiewanego przez milczące rządy – jakim to
technologicznym oddziaływaniom jednostki są
poddawane.
Poza tym, komputerowe techniki
wykazywały nieznaną wcześniej, poruszającą właściwość. Elektroniczne urządzenia
uruchamiane były przez ludzi i dostarczały im wyników, ale, co do zasady, działały samoczynnie, według wprowadzonych
algorytmów. Dotarłszy do krytycznego stopnia komplikacji, osiągnęły i
przekroczyły – według człowieczych miar – granicę obliczalnego
działania. Nie sterowały już nimi – jak niegdyś w żakardowych maszynach – perforowane karty, zapewniające
przewidywalny, jednoznacznie zdeterminowany
bieg mechanizmów. Komputery i systemy względnie wcześnie zaczęły wymykać się swoim twórcom[13]. Początkowo chodziło co najwyżej o efekt psychologiczny, ale z czasem rosnąca złożoność
operacji wprowadziła działanie maszyn w sferę probabilistyki. Także dysfunkcje stały się mniej rozpoznawalne i ludzie zaczęli odkrywać, że zdarza im się
nieświadomie działać na podstawie wadliwie lub nieprzewidywalnie
przetworzonych danych albo osobiście ponosić konsekwencje zerojedynkowych wykolejeń. Wyzbyli się już w większości modernistycznej euforii, ale nie zostali przygotowani na ograniczoną
prognozowalność działania informatycznej infrastruktury.
Odruchem mentalnie zakorzenionym była
antropomorfizacja maszyn, a także hipotetycznych
form cyfrowej umysłowości. Kultura bawiła się wizjami aberracji własnoręcznie
wykreowanej sztucznej inteligencji, a także motywem jej epistemicznej
niedostępności. Wszystko to przez dziesięciolecia nie wykraczało poza grę
wyobraźni, aż wreszcie ludzkość z konsternacją dostrzegła, że o własnych
siłach i będąc u siebie wyszła poza
mapę. Bezlik zwyczajnych operacji, ich statystyczna zawodność oraz
bezosobowa, postmechanistyczna logika to czynniki ryzyka zidentyfikowane przed
laty, ale niezmiennie słabo rozpoznawalne.
Biorąc pod uwagę, jak często myślenie o
przetwarzaniu danych osobowych ociera się o
kulturowe archetypy buntu maszyn, wrogiej sztucznej inteligencji, może wydać
się uderzająco przenikliwe, że europejskie
regulacje od początku i konsekwentnie koncentrowały się nie na moderowaniu maszyn, ale na pilnowaniu ludzi, w
których ręce trafiło instrumentarium
nieogarnionej władzy i wpływu.
Pewne wiadomości o jednostkach długo
niemniej pozostawały poza zakresem ochrony –
albo ze względu na ich treść, albo na technologię zarządzania nimi. Z początku
stosunkowo wiele spośród nich uważano za
powszechnie dostępne. Nawet gdy
zaabsorbowanie procedurami cyfrowymi
przetrwało czas naiwności, wciąż utrzymywał się pogląd, że byłoby niecelowe
chronienie danych osobowych, „które
w oczywisty sposób nie stwarzają żadnego zagrożenia dla prywatności
i swobód jednostki”[14]. Mowa o wiadomościach uznanych za neutralne, których
obieg jest obojętny dla ludzkich interesów, wolności i praw. Kilka z
nich zostało zresztą przykładowo wymienione: nazwiska, daty urodzenia, uzyskane dyplomy[15]. Bieg
czasu nie miał na nie wpływu ani nie powodował jakoby ryzyka dla ludzkich
interesów. Cytowane sformułowanie było symptomatyczne dla ówczesnego
poszukiwania granic ochrony danych osobowych. Była ona bowiem i jest
selektywna, choć na przestrzeni lat nie raz przesuwano linię, która oddziela
istotne od błahego.
Początkowo wytyczane obszary europejskich uregulowań okazały się zbyt
ciasne.
Dane,
które nie znajdowały się w informatycznych prasystemach, a następnie
w zautomatyzowanych zbiorach, i które nie były automatycznie przetwarzane
ani nawet zebrane w celu
takiego przetwarzania, pozostały poza pierwszymi projektami – bez względu na ich funkcjonalność i treść. Następny
krok doprowadził wszelako do pytania, dlaczego właściwie pewne sposoby
postępowania z informacją miałyby sprowadzać większe ryzyko niż inne. W
rezultacie, ze zdwojoną uwagą powrócono do spostrzeżenia, że groźne są takie
techniki organizacji danych, które zapewniają efektywność dostępu do nich w
celu identyfikacji jednostek. Nie tylko cyfrowe.
Na pierwszy plan, zajmowany niedawno na
wyłączność przez technologiczne fascynacje, z
czasem wysunął się sam aspekt wyszukiwawczej i skojarzeniowej sprawności,
która – choć pożądana i ogólnie
pomyślna – mogła wyjmować obywatelom z rąk kontrolę nad przetwarzaniem danych, które do nich się
odnosiły. Spektakularność przewrotu cyfrowego
bez wątpienia otworzyła oczy na informacyjne niebezpieczeństwa, a od tej chwili odnajdywano je również w innych,
dawniejszych, mniej zaawansowanych sposobach przetwarzania danych.
Ochronne regulacje
objęły więc po kolejnych latach dane osobowe, które podlegały, w całości albo w części,
przetwarzaniu tak zautomatyzowanemu, jak i innemu, – ale temu drugiemu tylko
wtedy, jeśli były zorganizowane „według
określonych kryteriów, które odnosiły się do osób fizycznych, w celu
zapewnienia łatwego dostępu do danych”[16]. Ta właściwość
czyniła z dowolnej garści danych potencjalne paliwo skrytej inwigilacji, nieuprawnionego wpływu albo tylko ingerencji w
prywatność jednostki. Z zastrzeżeniem tak sformułowanych
wyróżników, wystarczających i kompletnych, objęto ochroną rozmaicie zorganizowane dane, byleby identyfikowały
określone osoby albo tylko ich identyfikację w jakikolwiek realny sposób
umożliwiały.
Po trwającym
ćwierćwiecze mozolnym przypominaniu sobie o niebezpieczeństwach dawnego świata, prace nad ochronnymi regulacjami,
u swych początków bez reszty zapatrzone w „elektroniczne banki danych”,
definitywnie dotarły do zlekceważonych
kiedyś zgoła niecyfrowych zapisów informacji. Nawet do niektórych
spośród sporządzonych atramentem na papierze, bo i w nich ujawnił się mroczny
potencjał. Porzucona zarazem została niegdysiejsza myśl
o neutralnych danych osobowych, gdyż wszystkie mogły posłużyć do umniejszenia wolności
i praw jednostek, jeśli zostałyby odpowiednio usystematyzowane i
połączone.
Poza ochronną ingerencją
pozostawiono informacyjny bezład albo zasoby danych, które nie były ustrukturyzowane według
określonych kryteriów, z ujemnym skutkiem dla sprawności wyszukiwania
konkretnych spersonalizowanych wiadomości.
Paradoksalnie, wschodząca cywilizacji cyfrowa
sprowokowała dostrzeżenie zagrożeń oraz ich nawarstwiające się redefinicje, a w
następstwie pojawiły się pomysły uregulowań wyzwolone od początkowego zahipnotyzowania elektronicznymi narzędziami.
[1] Jagielski, Prawo do ochrony, s. 9.
[2] Thomas M. Cooley, A Treatise on the Law of Torts or the Wrongs Which Arise Independent of Contract, Chicago 1879, s. 29; por. Samuel Warren, Louis Brandeis, The Right to Privacy, Harvard Law Review Vol. IV No5 (1890), s. 195 (http://links.jstor.org/sici?sici=0017-811X%2818901215%294%3A5%3C193%3ATRTP%3E2.0.CO%3B2-C [odczyt 2018 09 26]) – autorom tym przypisuje się spopularyzowanie zwrotu “the right to be let alone”; Dorothy J. Glancy, The Invention of the Right to Privacy (w:) Arizona Law Review, 1 (21)/ 1979, s. 1-39.
[3] Litwiński, Rozporządzenie UE (Wprowadzenie, I [1] s. 3-4, III [12] s. 22), Jagielski, Prawo do ochrony, s. 9-10.
[4] Rezolucja (74) 29 w sprawie ochrony prywatności jednostek w odniesieniu do elektronicznych banków danych w sektorze publicznym, przyjęta przez Komitet Ministrów [Rady Europy] 20 września 1974 r., Explanatory report, pkt 1 i 4 – https://rm.coe.int/16804d1c51 [odczyt 25 05 2019].
[5] Por. mot. 6 R.2016/679.
[6] Rez. (74) 29 Explanatory report, pkt 4.
[7] Vance Packard, The Naked Society, New York 1964; por. Robert E. Burns, Packard: The Naked Society, DePaul Law Review, vol. 14/1964 (https://via.library.depaul.edu/cgi/viewcontent.cgi?referer=https://www.google.com/&httpsredir=1&article=3311&context=law-review, s. 225-227 [odczyt 2018 09 21]), Joseph W. Bishop Jr., Book Review: The Naked Society (1964), Faculty Scholarship Series (http://digitalcommons.law.yale.edu/fss_papers/2844 s. 193-199 [odczyt: 2018 09 21]).
[8] Rez. (74) 29, Explanatory report, pkt 27.
[9] Rezolucja (73) 22 w sprawie ochrony prywatności jednostek w odniesieniu do elektronicznych banków danych w sektorze prywatnym – przyjęta przez Komitet Ministrów [Rady Europy] 26 września 1973 r. – https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680502830 [odczyt 2017 05 24]; Rez. (74) 29.
[10] Organisation for Economic Co-operation and Development (OECD) – Recommendation of the council concerning guide-lines governing the protection of privacy and transborder flows of personal data, adopted by the Council 23 September 1980, preambuła oraz aneks, pkt 3 lit. c (https://legalinstruments.oecd.org/public/doc/114/114.en.pdf (dalej jako “1980 Guidelines”).
[11] 1980 Guidelines, aneks, pkt 2. [odczyt: 2019 05 22]; Konwencja Nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzona w Strasburgu dnia 28 stycznia 1981 r., tytuł, preambuła, art. 2 lit. a, b, c, art. 3 ust. 1, 2 i 4, art. 5-7, art. 8 lit. a, b, art. 9 ust. 3, art. 12 ust. 1 i 3 lit. a, art. 13 ust. 3 lit. b, art. 14 ust. 3 lit. b; D.95/46/WE mot. 11, 15, 27, 41, art. 2 lit. b, art. 3 ust. 1, art. 4 ust. 1 lit. c, art. 12 lit. a, art. 15 ust. 1, art. 18 ust. 1 (Dz.U. z 2002 r. Nr 3, poz. 25.).
[12] Rez. (74) 29, Explanatory report, pkt 5.
[13] Por. Sakowska-Baryła (red.), Ogólne rozporządzenie: interesujący pogląd K. Wygody, że ograniczenie ludzkiej kontroli nad współczesnymi sieciami neuronowymi czyni problematycznym traktowanie ich jako automatów – lecz musi być przyjmowane, dopóki sztuczna inteligencja nie uzyska prawnego statusu osoby – komentarz do art. 2 [3] R.2016/679, s. 56.
[14] 1980 Guidelines, pkt 3 lit. b.
[15] Rez. (74) 29, Explanatory report, pkt 21.
[16] Mot. 15 D.95/46/WE.
dariuszgrot 